dovecot - Fehler bei Authentifizierung

[Magnus Warker]

Hallo,

der Zugriff auf einen lokalen dovecot-Server mit icedove funktioniert
problemlos. Allerdings verwende ich auch derzeit keine Verschlüsselung
("Connection Security: None").

Der Zugriff von einem anderen Rechner im Netz über Outlook 2010
funktioniert dagegen gar nicht. Bereits beim Einrichten des Kontos heißt
es: "Fehler bei der Allgemein-Authentifizierung. Keine der
Authentifizierungsmethoden, die vom IMAP-Server unterstützt werden, wird
von diesem Computer unterstützt."

Was tut man da am besten? Falls es ohne Verschlüsselung nicht geht:
Welches wäre die nächste schnell einzurichtende Sicherheitsstufe?

Danke
Magnus

dovecot -n
# 1.2.15: /etc/dovecot/dovecot.conf
# OS: Linux 2.6.32-5-amd64 x86_64 Debian 6.0.4 ext3
log_timestamp: %Y-%m-%d %H:%M:%S
login_dir: /var/run/dovecot/login
login_executable: /usr/lib/dovecot/imap-login
mail_privileged_group: mail
mail_location: maildir:/mws/mbx/%u
mbox_write_locks: fcntl dotlock
auth default:
passdb:
driver: pam
passdb:
driver: passwd-file
args: /mws/cfg/dovecot/dovecot.pwd
userdb:
driver: passwd
userdb:
driver: static
args: uid=vmail gid=vmail home=/home/vmail

[Magnus Warker]

On 04/07/2012 01:33 PM, Heiko Schlenker wrote:
> * Magnus Warker<mag...@mailinator.com> schrieb:

> Gucken (Outlook- und Dovecot-Protokolle, beide ggf. geschwätziger
> machen),

Mir fiel auch schon auf, dass im dovecot-Log nichts zu finden ist, aber
welche verbose-Schalter wären hier denn sinnvoll?

auth_verbose und auth_debug ja wohl nicht, denn soweit kommt es ja gar
nicht.

Wie man Outlook geschwätziger machen könnte, wüsste ich auch nicht.

> woran es scheitert und was Dovecot überhaupt an
> Authentifizierungsmechanismen und Protokollen anbietet
> (siehe Dialog-Begrüßungszeile).

Der sieht bei mir so aus:

* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE
STARTTLS AUTH=PLAIN] Dovecot ready.

Magnus

[Magnus Warker]

> Aha, nur ein Authentifizierungsmechanismus, nämlich "plain".
>
> Outlook kann, glaube ich, nur "login". Beispielkonfiguration:
> #v+
> auth default {
> # ...
> mechanisms = plain login
> # ...
> }
> #v-
>
> Nach einer Konfigurationsänderung muss Dovecot ggf. neu gestartet
> werden.

Habe es geändert, aber es hat erst mal nichts gebracht...

* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE

STARTTLS AUTH=PLAIN AUTH=LOGIN] Dovecot ready.

[Magnus Warker]

On 04/09/2012 02:18 AM, Heiko Schlenker wrote:
> * Magnus Warker<mag...@mailinator.com> schrieb:
>> On 04/07/2012 03:40 PM, Heiko Schlenker wrote:
>>> * Magnus Warker<mag...@mailinator.com> schrieb:
>>>> On 04/07/2012 01:33 PM, Heiko Schlenker wrote:

> Kommuniziert Outlook wirklich mit Dovecot? Im Dovecot-Protokoll sollte
> etwas stehen wie:
> #v+
> 2012-04-09 02:14:51 imap-login: Info: Aborted login (tried to use unsupported auth mechanism): method=LOGIN, rip=::1, lip=::1, TLS
> #v-

Kommuniziert wird, aber sehr seltsam:

Apr 9 08:40:03 magnus dovecot: imap-login: Disconnected (no auth
attempts): rip=192.168.0.13, lip=192.168.0.12

Diese Meldung erscheint, wenn man in Outlook "Kontoeinstellungen testen"
wählt. Offenbar wird dabei gar kein Authentifizierungsversuch gemacht...

Magnus

[Magnus Warker]

On 04/09/2012 01:01 PM, Heiko Schlenker wrote:
> * Magnus Warker<mag...@mailinator.com> schrieb:
>> On 04/09/2012 02:18 AM, Heiko Schlenker wrote:
>>> * Magnus Warker<mag...@mailinator.com> schrieb:
>>>> On 04/07/2012 03:40 PM, Heiko Schlenker wrote:
>>>>> * Magnus Warker<mag...@mailinator.com> schrieb:
>>>>>> On 04/07/2012 01:33 PM, Heiko Schlenker wrote:
>>
>>> Kommuniziert Outlook wirklich mit Dovecot? Im Dovecot-Protokoll sollte
>>> etwas stehen wie:
>>> #v+
>>> 2012-04-09 02:14:51 imap-login: Info: Aborted login (tried to use unsupported auth mechanism): method=LOGIN, rip=::1, lip=::1, TLS
>>> #v-
>>
>> Kommuniziert wird, aber sehr seltsam:
>>
>> Apr 9 08:40:03 magnus dovecot: imap-login: Disconnected (no auth
>> attempts): rip=192.168.0.13, lip=192.168.0.12
>>
>> Diese Meldung erscheint, wenn man in Outlook "Kontoeinstellungen testen"
>> wählt. Offenbar wird dabei gar kein Authentifizierungsversuch gemacht...
>

> Passiert das auch, wenn Outlook nicht testet, sondern versucht,
> tatsächlich auf das Konto zuzugreifen?

Ja, wenn ich das Konto ohne Testen anlege und dann den "Posteingang"
öffnen will, erscheinen die gleichen Log-Einträge:

pr 9 08:40:03 magnus dovecot: imap-login: Disconnected (no auth
attempts): rip=192.168.0.13, lip=192.168.0.12

Apr 9 08:42:06 magnus dovecot: imap-login: Disconnected (no auth
attempts): rip=192.168.0.13, lip=192.168.0.12
Apr 9 08:44:02 magnus dovecot: imap-login: Disconnected (no auth
attempts): rip=192.168.0.13, lip=192.168.0.12
Apr 9 08:44:02 magnus dovecot: imap-login: Disconnected (no auth
attempts): rip=192.168.0.13, lip=192.168.0.12

Magnus

[Heiko Schlichting]

Magnus Warker <mag...@mailinator.com> wrote:
> Ja, wenn ich das Konto ohne Testen anlege und dann den "Posteingang"
> öffnen will, erscheinen die gleichen Log-Einträge:
>
> pr 9 08:40:03 magnus dovecot: imap-login: Disconnected (no auth
> attempts): rip=192.168.0.13, lip=192.168.0.12

Was ist denn bei Outlook genau eingestellt? Ist vielleicht versehentlich

[ ] Anmeldung mithilfe der gesicherten Kennwortauthentifizierung
(SPA) erforderlich

eingeschaltet? Wenn ja, ist das der Fehler.

Heiko

[Magnus Warker]

Ich habe gerade nachgesehen: Diese Option ist standardmäßig beim Anlegen
des Kontos deaktiviert und ich habe dies auch nicht geändert.

Was mir auffällt: Es wird immer eine Eingabe erzwungen, sowohl bei
Posteingangs- als auch Postausgangs-Server. Ich gebe da immer den Namen
des IMAP-Servers an, aber dieser soll nur als Archivspeicher genutzt werden.

Magnus

[Magnus Warker]

Hallo Heiko,

ich habe beim Suchen das hier gefunden:

"Microsoft Outlook unterstützt das Protokoll IMAP4. Einige Server
verwenden möglicherweise den aktualisierten Standard IMAP4rev1, der die
Authentifizierung Ihrer Anmeldeinformationen und den Zugriff auf Ihr
Konto verhindern kann."

[http://office.microsoft.com/de-ch/outlook-help/problembehandlung-bei-imap-konten-HP005270686.aspx]

Meine dovecot-installation stammt aus dem Repository von Debian Squeeze
und hat die Version 1.2.15.

Wie kann ich die IMAP-Version herausfinden, sowohl von dovecot als auch
von Outlook?

Magnus

[Magnus Warker]

On 04/11/2012 01:33 PM, Magnus Warker wrote:

> Wie kann ich die IMAP-Version herausfinden, sowohl von dovecot als auch
> von Outlook?

Laut telnet ist die von dovecot IMAP4rev1.
Fragt sich nur, welches die von Outlook ist...

Magnus

[Paul Muster]

On 11.04.2012 14:08, Heiko Schlenker wrote:

> Betrifft Outlook 2003. Outlook 2010 sollte auf der Höhe der Zeit sein.

*lach* Ja, das wäre schön.


mfG Paul

[Magnus Warker]

On 04/11/2012 02:08 PM, Heiko Schlenker wrote:

> Du könntest die Newsgroup de.comp.office-pakete.ms-office.outlook
> konsultieren

Ähm, habe ich getan. Erste Reaktion: Frag in einer dovecot/UNIX-Gruppe. :-)

Ich vermute, dass Nicht-Exchange-Umgebungen dort nicht gerne gesehen sind.

Wie auch immer, ich fasse mal zusammen:

- Mit Icedove funktioniert der Zugriff (zwar lokal, aber die
Konnektivität ist auch bei Outlook gegeben).

- Mit Outlook kommt es zum Fehler wegen nicht vorhandener
Authentifizierungsmethoden.

- Wenn der Fehler bei Outlook auftritt, wird im dovecot-Log kein
wirklicher Fehler gemeldet. Ich vermute, dass Outlook sich nur den
Begrüßungs-String ansieht und darauf hin den Fehler meldet.

Ungeklärt ist immer noch:

- Welche IMAP-Version verwendet Outlook (2010)?
- Welche Authentifizierungsmethoden braucht Outlook?
- Wie kann man die Syslog-Meldungen für Outlook informativer machen?

Vielleicht kommt ja hier noch mal jemand vorbei, der noch eine Idee hat.
Von der Outlook-Gruppe verspreche ich mir ehrlich gesagt nicht so viel.

Danke nochmal!

Magnus

[Heiko Schlichting]

Magnus Warker <war...@mailinator.com> wrote:
> Ich vermute, dass Outlook sich nur den
> Begrüßungs-String ansieht und darauf hin den Fehler meldet.
>
> Ungeklärt ist immer noch:

Unklar ist mir noch, warum das Problem bei Dir auftritt, aber bei anderen
nicht. Grundsätzlich funktioniert dovecot ja mit Outlook (2003, 2007, 2010)
problemlos und wird bei uns für Zehntausende von Nutzern eingesetzt.

Ich kann auch nur spekulieren, was die Ursache sein könnte und würde auf
folgendes tippen:
- Auf dem Window Rechner könnte es eine Sicherheitssoftware (Virenscanner,
personal Firewall o.ä.) geben, die in die Verbindung reinpfuscht. Das
sollte sich aber für einen Test abschalten lassen.
- War es das nicht, würde ich vermuten, dass Outlook SSL-on-Connect oder
IMAP+STARTTLS verwendet, aber Dein dovecot nur eine der beiden Methoden
anbietet.

Das kannst Du ggf. von einem Linux-Rechner testen (imtest ist Teil von
cyrus-clients-2.2, andere Tools funktionieren natürlich auch):

imtest -s -a username -v -p 993 mail.do.main
imtest -t "" -a username -v -p 143 mail.do.main

Wenn beides funktioniert, wird es in der Tat schwierig und dann müsstest Du
stärkere Geschütze auffahren - lies: tcpdump.

Heiko

[Magnus Warker]

Läuft!

Das war der entscheidende Tipp:
> Du könntest Dovecot vorübergehend und testweise alle verfügbaren
> Mechanismen anbieten lassen und schauen, was passiert:
> #v+
> mechanisms = ogin plain cram-md5 digest-md5 ntlm anonymous rpa apop gssapi gss-spnego
> #v-

Der fehlende Mechanismus war 'digest-md5'.

Nochmals vielen Dank für die Hilfe!

Magnus